CSIRT関連機関

• CSIRT
  • Computer Security Incident Response Team
  • 企業や組織内に作られる専門チーム
  • 発生前：脆弱性情報の収集からパッチ適用等の予防策など
  • 発生時：インシデントハンドリング
  • 発生後：再発防止策
  • 代表者はPoC
• JPCERT/CC
  • 日本の国際連携CSIRTコーディネーションセンター
  • 分析センター
• CERT/CC
  • 米国の国際連携CSIRT
• APCERT
  • Asia Pacific Computer Emergency Response Team
  • アジア太平洋地域における、コンピュータセキュリティインシデント対応組織の協力体制を構築する目的で設立されたフォーラム
• CSIRT協議会
  • 日本のCSIRTの集まり
• FIRST
  • Forum of Incident Response and Security Teams
  • 世界的なCSIRTの集まり
• IPA/ISEC
  • コンピュータウイルス・不正アクセス・脆弱性情報に関する発見・被害の届け出の送付先

インシデント発生前

• 情報収集と事象分析
• 脆弱性対応
  • パッチの適用
• 情報提供
  • 普及啓発活動、注意喚起
• 対応手順の決定
  • プロセスの明確化
  • マニュアルの整備
  • 訓練の実施

インシデントハンドリング

• 検知/連絡受付
  • 定期点検、保守作業
  • 監視システムからのアラート
  • 社員からの連絡、連絡窓口の設置
• トリアージ
  • 優先順位付け
    • 事前に判断基準は定めておく
  • 情報収集/情報提供を要請
  • 影響範囲の特定と必要に応じて応急対応
  • 対応の要否の決定
  • 利用者への注意喚起
• インシデントレスポンス
  • 事象分析
  • 対応策の決定と対応計画の作成
  • 対応策の実施
  • 報告者への回答
• 報告/情報公開
  • 取引先等関連したところに報告
  • 監督官庁、捜査機関等への連絡
  • メディアへのプレスリリース

インシデント発生後

• 再発防止策の検討
  • 原因分析から再発防止策の検討
  • ポリシの見直し、マニュアル改訂

インシデント関連キーワード

• EDR
  • Endopoint Detection and Response
• ディジタルフォレンジックス
• インシデントラッキングシステム
  • インシデントの対応状況や進捗状況を管理するシステム

脆弱性対応の手順

• 情報収集
  • メーカや開発企業のサイトのチェック
  • 統合管理システムの利用
  • JVNのMyJVN脆弱性対策情報ツール等の利用
  • 外部の情報提供サービスを利用
• 深刻度評価
  • CVSS環境値
• 措置の実施
  • 修正プログラム（パッチ）の適用
  • 一時的にIPSやFWで攻撃が抑止できる場合は実施する
  • 当該製品の利用をいったん停止する
• 事象分析
  • 資産管理
    • 利用しているハードウェア及びソフトウェアの正確な情報の把握
  • 監視
    • ID利用状況
    • 各機器のログ
    • 改ざん検知
    • EDR
  • 脆弱性診断
  • ペネトレーションテスト

脆弱性関連ワード

• JVN
  • Japan Velnerablity Notes
  • 発見されたソフトウェアなどの脆弱性関連情報（JVN脆弱性レポート）
  • 脆弱性情報を収集するためのツール（MyJVN脆弱性対策情報ツール）
• CVSS
  • 基本評価基準
    • 脆弱性そのものの特性を評価
    • 固定
  • 現状評価基準
    • 脆弱性の現在の深刻度を評価
    • 変動
  • 環境評価基準
    • 利用環境を含めて最終的な脆弱性の深刻度を評価

持ち出し管理規定（推奨）

• 電子メールは保存しない（IMAP）
• 重要データは保存しない（サーバ保存）
  • シンクライアントとか
• 利用者認証機能
  • USBキーをPCに挿入し、USBキー内の秘密鍵を活性化するためのパスワードを入力
  • USBキーはPCと別に管理
  • BIOSによる起動パスワードで、本人以外が起動できないように
• 確実に利用者認証ができていることを上司が確認
• 暗号化
  • 利用者が意識することのないように
  • 復号鍵を認証デバイスに保管して、認証デバイスがないと復号できないように
• 持ち出し申請管理の徹底
  • 申請書を用いる
  • 口頭での許可はしない
• RASへのアクセス記録を定期的に本人宛に電子メール送付する
• バックアップ
• ウイルス対策（PDA）
  • パーソナルFW
  • パターンファイルをリアルタイムに更新する
• のぞき見防止フィルタで盗み見対策
• 社内ネットワークに接続するときは検疫ネットワーク等を利用する

盗難・紛失時の対応

• 利用者は直ちに事実を報告
• 管理者は詳細ヒアリング、漏洩リスクを判断
• リモートアクセスのID、パスワード等を一時的に利用停止
• 紛失中に当該IDからアクセスがあるかどうかサーバやFWのログをチェック
• 戻ってきた後、操作履歴やログをチェック
• 情報漏洩やインシデントの発生有無を最終判断し報告書にまとめる
  • インシデントが発生していたらインシデント対応プロセスに移行
• 情報セキュリティ委員会で再発防止策を検討

BYOD

• Bring Your Own Device
• メリット
  • 会社は初期コスト（端末購入費等）、運用コスト（通信費、保守費等）がかからない
  • 従業員は2台持ちの解消、使い慣れた端末の解消、好きな機種の利用ができる
  • 特定機種に脆弱性が発見されても、すべての端末が使えなくなることはない
• デメリット
  • 会社での一元管理が困難
  • 脆弱性の一括修正が困難
  • 私的データと会社で利用するデータが混在
• セキュリティ
  • OS及びアプリケーションに最新の脆弱性対策パッチを適用する
  • 機種やOSのバージョンの申請を義務付ける
  • 可能な場合、ウイルス対策ソフトの導入
  • 私的改造を行わない（製造元のセキュリティ機能が無効になるから）
  • アプリケーションは、信頼できるところだけに限定する

ディスクやUSBメモリの暗号化

• 電子政府推奨のAES（鍵長256ビット）、CCのEAL4レベルが安全とされている
• フルディスク暗号化方式
  • ディスクまるごと暗号化し、利用者は意識することはない
  • プリブート認証
    • 認証が通らないとOSが起動しない
  • ハイバーネーション用領域の暗号化
    • PCが休止モードになったときに、そのときのメモリの内容を一時的に書き出す領域
  • 起動後は無防備、起動時にUSBメモリ等の外部デバイスにコピーしたものは非暗号
  • TPMに復号鍵を保管しておけば、ハードディスクが取り外されても他のPCで読めない
• 仮想ディスク暗号化方式
  • 仮想的な暗号化領域（コンテナ）を作成し、仮想ディスクとして利用する
  • マウントするときに認証が必要だが、一度認証をパスすると一定時間は意識せずに使える
  • 仮想ディスクに書き込むと自動で暗号化され、コンテナ以外のところにコピーされると自動で復号される
• フォルダ・ファイル暗号化方式
• TPM
  • Trusted Platform Module
  • PCに内蔵されるセキュリティチップ
  • 耐タンパ性を持ち
  • 鍵ペアの生成と格納
  • ハッシュ値の計算
  • 乱数生成

VPN

• 機能
  • 暗号化
    • 通信回線上を流れるパケットを暗号化
  • 完全性検査
    • 通信途中での改ざんを検知
  • トンネル化
    • 本来のパケットに新しいヘッダをつけて通信するなどしてカプセル化
• プロトコル
  • PPTP
    • Point to Point Tunneling Protocol
    • 第2レイヤでVPNを構築する
    • 主としてインターネットVPNで使用される
  • IPsec
    • IPレベルでVPNを実現するプロトコル
    • IPのバージョン4ではオプション、IPv6では標準仕様
    • 通信モード（暗号モード）
      • トンネルモード
        • IPパケットをヘッダごと暗号化するため、透過的で安全
      • トランスポートモード
        • IPパケットのデータ部（TCPヘッダとデータ部）だけを暗号化
        • セキュアなホスト間でのエンドツーエンドなどに用途が限られる
    • プロトコル
      • ESP
        • Encapsulating Security Payload
        • 暗号化と認証が可能
      • AH
        • Authentication Header
        • 認証のみ
    • 認証モード
      • メインモード
        • 相互認証に固定IPを使う
        • LAN間接続に向く
      • アグレッシブモード
        • 相互人方にIPアドレスを含めなくてもよい
        • 動的IPアドレス可能
        • リモートアクセスに向く
    • トンネルモード+ESP
      • データ形式（前から）
        • VPN装置間で新たなIPヘッダをつける
        • ESPヘッダ
        • 暗号化したIPパケット
          • 暗号化される
        • IPヘッダ+データ
        • ESPトレーラ
          • 暗号化される
        • 認証データ
          • ESPヘッダ~ESPトレーラでハッシュ値を求める
      • 通信手順
        • 第1フェーズ：IKE SA（制御用トンネル）を作成
          • 両方のVPN装置に設定しておく事前共有鍵を使って相互認証する
          • 第2フェーズで行う鍵の基の情報、暗号アルゴリズム、認証アルゴリズムなどの交換・確認を行うためのトンネル（IKE SA）を作成する
            • 第1、2フェーズで使用する暗号アルゴリズムとハッシュアルゴリズムを相互確認（決定）し、その鍵をDiffie-Hellman方式で共有する
        • 第2フェーズ：IPsec SA（通信用トンネル）×2を作成
          • IKE SAを使ってIPsec SAを上り用と下り用を作成する
            • 第3フェーズで利用する暗号アルゴリズムと認証アルゴリズム（ハッシュアルゴリズム）を決定し、双方のSPI値、乱数を交換する
            • それらを基に上り通信用の暗号鍵と認証鍵、下り通信用の暗号鍵と認証鍵を作成する
        • 第3フェーズ：暗号通信を開始
          • 第2フェーズで決めた暗号アルゴリズム、認証アルゴリズムと暗号鍵と認証鍵を使って暗号通信を開始
  • SSL-VPN
    • 本社側にSSL-VPNゲートウェイを設置し、クライアントとSSL-VPNゲートウェイとの間でSSL（https）通信を行う仕組み
    • リバースプロキシ方式
      • Webブラウザのみで通信
      • SSL-VPN装置はリバースプロキシとしてのみ機能
    • ポートフォワーディング方式
      • Webブラウザに専用モジュールを自動的にダウンロードして利用する
      • SSL-VPN装置と各種サーバ間に設定が必要
      • 設定したアプリケーションは利用できる
    • L2 フォワーディング方式
      • Webブラウザに専用モジュールを自動的にダウンロードして利用する
      • クライアント側に仮想NICを設定し、サーバ側のネットワークに属する
      • すべてのアプリケーションを透過的に利用できる
  • SSH
    • SSHサーバとSSHクライアントを設置し、SSHプロトコルを使う
    • SSL-VPNとの対応
      • クライアント側：Webブラウザ→SSHクライアント
      • サーバ側：SSL-VPNゲートウェイ→SSHサーバ
      • ポート番号：443→22
    • ポートフォワーディング機能
      • TCPの上位で動作するアプリケーションを暗号化して安全に通信できる
    • コマンド
      • ssh：遠隔端末、telnetやrloginの安全な代替手段
      • scp：ファイル転送、rcp
      • sftp：ファイル転送、ftp
    • パスワード認証、公開鍵認証

シンクライアント

• ネットワークブート型
  • 端末起動時にOSやアプリケーションを端末に送って、端末側で動作する
  • 起動時にネットワークに負荷がかかる
• 画面転送型
  • サーバベース方式
    • 1台のサーバにある環境を共有する
    • アプリが対応している必要がある
    • ライセンスに課題
  • ブレードPC方式
    • ブレード（CPU等を配置した基盤）一つで1端末
    • コストがかかる
  • VDI方式
    • サーバに仮想化ソフトをインストールし、その上で仮想的に端末ごとの環境を維持管理する
    • H/Wは共通でもOSやアプリは端末の数だけ必要
• メリット
  • 端末にデータが残らない
  • サーバ側で、個々の端末の環境の一元管理ができる
  • インターネット接続用のTCサーバを独立させると標的型攻撃への対応になる]
    • OA用TCサーバのデスクトップ環境がマルウェアに感染しても、FWで外部ネットワークへのHTTP/HTTPS通信を遮断しておけば外部からコントロールされるのを防ぐ
    • IA用TCサーバのデスクトップ環境がマルウェアに感染しても、そこから内部への感染拡大には至らない
      • OA：オフィス環境
      • IA：インターネットアクセス
      • TC：シンクライアント

RADIUS

• インターネット以前はリモートアクセスは公衆回線やINS回線で、アクセスポイントのアクセスサーバ（Remote Access Server）に電話をかけて接続していた
  • ダイヤルアップ接続
  • プロトコルはPPP
  • 認証機能はPAPやCHAP
• 通信事業者のようにアクセスポイントが全国に分散している場合、1か所に認証サーバを設置し、アクセスポイントとは別に管理することで一元管理する
• この時に、個々のアクセスサーバと認証サーバ間の通信プロトコルとして使われるのがRADIUS（Remote Authentication Dial-In User Service）
• 認証サーバにRADIUSサーバ、各アクセスサーバにRADIUSクライアントの機能を持たせれば、接続要求のあったクライアントを認証サーバで認証できる
• IEEE 802.1X認証などで使われる

IoT機器

• 特有の性質とリスク
  • 脅威の影響範囲・影響度合いが大きい
  • ライフサイクルが長い
    • 経年によるセキュリティ機能の危殆化、新たな脆弱性の発見
  • 監視が行き届きにくい
    • 盗難・紛失
    • 管理者のいない場所での物理的攻撃、不正接続
    • 放置、ウイルス感染に気付かずに放置
  • IoT機器側とネットワーク側の環境や特性の相互理解が不十分
  • 機能・性能が限られている
    • 十分なセキュリティ対策が困難
  • 開発が想定していなかった接続が行われる可能性
• IoTのセキュリティ対策
  • IoT機器の製品設計時に配慮すること
    • 耐タンパ性
    • 故障時や想定しない接続（不正アクセス）時に対し、フェールセーフを基本とする
    • 不正利用に対しては実行可能なプログラムを制限する
    • 通常使用I/F、保守用I/F、非正規I/F別にセキュリティ設計をする
    • EDSA認証
      • Embedded Device Security Assurance
      • 制御機器を対象としたセキュリティ評価制度
  • 機器等がどのような状態かを把握し、記録する
    • 遠隔地で稼働するIoT機器は、監視が行き届かなくなりがち
      • 運用管理システムの検討
      • 死活監視
    • つながることで不正アクセスだけでなく、盗難や物理的に直接接続された時も把握
    • ログの取得及びチェック
      • 不正アクセスの兆候を把握するだけでなく、後日調査のためにも一定期間保管しておくことが望ましい
  • 保守
    • 保守専用ポートや保守専用ツールの管理強化
      • 不正利用（盗難、横流し等）に対する対応策
    • 保守員の不正・過失対策、退職後の不正アクセスへの対策
      • 不正を起こしたくない環境の構築
      • 権限分掌や相互牽制
      • 保守員の行動記録とログの突合せチェック
      • 異動や退職後の権限剥奪
  • 不正アクセスに備える
    • 確実な利用者認証
      • 出荷時の初期設定を変更
      • 必要に応じて高度な認証機能の導入
    • 不要なサービスポートの停止
    • パスワード認証を止め、公開鍵暗号方式のSSHを利用
    • ファイアウォール
    • ウイルス対策ソフト
  • 更新プログラムの確実な実施
    • 遠隔で行う場合には十分な不正アクセス対策が必要
    • 自動アップデートの場合は、性能の影響がないか、問題があったときに自動バージョンダウンができるかどうかを検討する
  • 廃棄時のデータの確実な消去